黑VPN服务商“兵马俑”分析

来源：《兵马俑 VPN》，演讲者：RSA 威胁情报分析

0×01 什么是兵马俑 VPN

VPN 的基础设施和服务面向中国大陆消费者，使用场景：游戏加速，翻墙，用户匿名访问等等。而“兵马俑 VPN”的特殊之处是，它通过入侵漏洞服务器获得世界各地的网络结点。 “兵马俑”是中国的一个 VPN 服务商，在全球有 1500 多个节点，绝大部分位于中国、韩国、美国和东欧。有意思的是，这些 VPN 节点大多是由被黑客入侵的 Windows 服务器搭建而成。这些服务器的主人大多是 2SA 研究员还惊奇的发现，某些中国 APT 攻击组织如 Deep Panda（深渊熊猫）和 Shell_Crew（Shell 战队）也曾利用“兵马俑”VPN 网络发动网络间谍活动。

2013 年美国劳工部入侵事件就和深渊熊猫有关。

详细，RSA 在今年的 Black Hat 大会上发布了议题没有证据说明兵马俑归属于某个 APT 组织运作，然而，兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多，普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略

*** 墙遁所有服务器全部为自用机房服务器 ***

0×02 兵马俑如何被发现的

在 Derusbi 木马的服务器后门（Shell — — Crew 一直利用着 Derusbi 木马家族在企业网络中建立后门）经 ram dump 确认找到了 Shell_Crew/Axiom 在敏感目标服务器上的后门，Derusbi 服务器装载了一个携带防火墙钩取的客户驱动，允许监听任意端口，和其他的相同端口网络服务共存（例如 80 端口）

0×03 目标 web 服务器

观察使用者从合法机构（不是中国）控制后门，观察了几个月后显然，兵马俑从某种程度上来讲很成功，看起来是合法的用户合法的遍历了网络，这种结合的手法更增加了 APT 组织的迷惑性。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN 网络的一部分，这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

这些合法的 orgs 的共同点：

全是 Windows 服务器安装了 Windows RRAS 特性，利用网络策略认证抵御中国的 RADIUS 服务器 VPN 账户包括 VPN 的品牌名泄漏了兵马俑 VPN 的品牌允许列出详细结点牵连到更多的受害者

*** 墙遁所有服务器均为 Linux 系统，并不存储任何用户数据，加密所有连接 ***

0×04 兵马俑征召的服务器